El equipo de seguridad de Backdrop CMS acaba de emitir una alerta crítica de seguridad en el core de la herramienta como consecuencia de una vulnerabilidad detectada en la librería Archive_Tar.
Se ha reportado una vulnerabilidad en la librería PERL Archive_Tar empleada por el core de la herramienta para el procesamiento de los archivos con extensiones .tar, .tar.gz, .bz2 o .tlz, que permitiría la escritura en directorios trasversales como consecuencia de una falta de comprobación de los enlaces simbólicos en el archivo Tar.php de dicha librería.
Backdrop CMS lanzó, de acuerdo a su calendario de actualización, una minor release el pasado 15 de enero. Por este motivo, el equipo de seguridad de esta herramienta ha decidido posponer una semana la actualización de seguridad correspondiente a esta vulnerabilidad detectada. Hasta que esta sea publicada, se recomienda desactivar el modulo de instalación y la subida de archivos con las extensiones que se han comentado anteriormente.
En el momento en el que esté lista la actualización de seguridad que solucione este problema será comunicado en el espacio web del equipo de seguridad de Backdrop CMS y en Redes Sociales.